一种名为「永恒之蓝」的蠕虫病毒忽然在全球网络肆虐，让数不清的电脑用户损失惨重。

2017 年 5 月 12 日起，网络中杀出的蠕虫病毒「永恒之蓝」，像是电脑绑架者，不断侵入电脑加密文件，然后讨要解密赎金，所以「永恒之蓝」又被称为勒索病毒，与现实中的绑架者可谓行径相似。这种电脑绑架行为，造成了巨大损失，有关机构一时也不能算出经济损失的总量。

这种贫富皆绑的勒索病毒是谁制造的？它源于美国网络武器库，因为网络武器库管理不严密，导致一些本由军方施用的攻击程序流落民间，最终成为黑客谋财的工具。

事件时间轴

• 在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件，并将部分文件公开到了互联网上，方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织，有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件，打算以公开拍卖的形式出售给出价最高的竞价者，“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美元)。而“Shadow Brokers” 的工具一直没卖出去。

• 北京时间 2017 年 4 月 8 日，“Shadow Brokers” 公布了保留部分的解压缩密码，有人将其解压缩后的上传到Github网站提供下载。3. 北京时间 2017 年 4 月 14 日晚，继上一次公开解压密码后，“Shadow Brokers” ，在推特上放出了第二波保留的部分文件，下载地址为https://yadi.sk/d/NJqzpqo_3GxZA4，解压密码是 “Reeeeeeeeeeeeeee”。 此次发现其中包括新的23个黑客工具。具体请参考：https://github.com/misterch0c/shadowbroker/blob/master/file-listing

这些黑客工具被命名为OddJob，EasyBee，EternalRomance，FuzzBunch，EducatedScholar， EskimoRoll，EclipsedWing，EsteemAudit，EnglishMansDentist，MofConfig，ErraticGopher，EmphasisMine，EmeraldThread，EternalSynergy，EwokFrenzy，ZippyBeer，ExplodingCan，DoublePulsar等。

事实上，最早受到「永恒之蓝」病毒攻击的是英国的许多医院。黑客成功侵入医院电脑，植入「永恒之蓝」，然后病毒开始读取医院电脑里的重要文件，继而把这些重要文件加密锁死。当医生试图打开文件时，发现需要密码钥匙，而密码钥匙掌握在黑客手里。黑客在被攻击的电脑上留下弹出窗口，告诉用户：「你的文件是我加密的，想打开，请付价值 300 美元的比特币。如果三天之内不把比特币转到指定名下的账户，再想打开加密文件，所付赎金则要加倍！」

医生们打不开文件，傻眼了。他们没有比特币作为赎金转给黑客，只能眼睁睁看着电脑被「绑架」而无能为力。打不开文件，新病人就无法登记就诊，原来的病人也无法通过电脑跟踪病情，手术室里的仪器无法正常工作，就连各部门之间的电话也中断了。电脑中了「永恒之蓝」病毒，许多英国医院工作陷入瘫痪，医生们只好向没有中毒的医院转移大量病人。

除了英国的许多医院被「永恒之蓝」攻击之外，当天全世界共有七十多个国家报告有数不清楚的电脑受到「永恒之蓝」攻击，其中西班牙电信局的电脑中招、俄罗斯内务部的上千台电脑中招、中国一些大学的电脑中招。中毒电脑无一例外都通过黑客留下的弹出窗口告诉用户：「文件被加密，想打开，汇比特币来！」

修复建议

其实微软在当年3月已经上传了相关的解决措施，问题在于当时国内不够重视，导致学校局域网被攻击，大量毕业生电脑遭到入侵。

1. 升级到微软提供支持的Windows版本，并安装补丁：https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

2. 安装相关的防护措施，如缓冲区溢出防御软件，杀毒软件。

3. 无补丁的Windows版本，临时关闭135、137、445端口和3389远程登录。